fbpx

Welke zekerheid biedt de ISO 27001 norm en audit?

Wim Hoving

Architect ISM-Methode

“Wet en werkelijkheid”, zo heet een gepubliceerd rapport van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC). In een uitgebreid kwalitatief onderzoek bleek één van de conclusies te zijn dat de naleving en doeltreffendheid van wetgeving in de praktijk afhankelijk is van een aantal factoren. Eén van de factoren die nadrukkelijk naar voren komt behelst het (on)vermogen van organisaties die wetten moeten uitvoeren en moeten zorgen voor naleving.

Komt binnen de publieke IT-sector wet en werkelijkheid wel altijd overeen? Binnen het onderwijs geldt de SURF, voor de overheid de BIO en binnen de zorg de NEN 7510. Al deze normen zijn afgeleid van de ISO 27001 norm. De gehele publieke sector heeft te maken met deze informatieveiligheidsnorm met bijbehorende periodieke audits.

Het antwoord op bovenstaande vraag luidt duidelijk: nee. Informatieveiligheid krijgt veel aandacht van de wetgever, maar de praktijk leert dat niet elke organisatie security als standaard onderdeel van haar IT-doestverlening beschouwd. Zo bleek bijvoorbeeld in september 2021 dat de Hogeschool van Arnhem en Nijmegen (HAN) de informatieveiligheid niet op orde had. Een hacker maakte privégegevens buit en eiste daarop geld. De hogeschool betaalde niet en de gegevens kwamen op straat te liggen. En dat terwijl de HAN al in 2017 was gestart met hun eerste review op een SURFaudit.

En alhoewel hierboven een voorbeeld is gegeven van falende informatieveiligheid binnen het onderwijs; het komt overal voor. Denk bijvoorbeeld aan de hack bij het Hof van Twente in 2020 of het Wilhelmina Ziekenhuis in Assen in 2021. De gehele publieke sector is verplicht een (al dan niet afgeleide) ISO 27001 audit af te nemen en daarvoor een certificaat te behalen. Maar toch komen wet en werkelijkheid niet altijd met elkaar overeen.

Dat komt omdat ISO 27001 normen en audits wel een incentive vormen, maar niet de gewenste resultaten behalen. Met controleren en straffen bereikt men zelden de gewenste duurzame resultaten.

“Het is de stok-methode, als in: “voldoe aan onze normen of je krijgt een fikse geldboete.”

Een bewezen gestandaardiseerde managementmethode die de IT-dienstverlening en IT-servicemanagement optimaal organiseert bereikt echter wel compliancy. Dat komt omdat zo’n managementmentmethode, zoals ISM, security als een standaard onderdeel van IT-dienstverlening beschouwt en compliancy organisatie-breed. Met andere woorden, de ISO 27001 normen zijn niet iets externs, maar een integraal onderdeel van elke IT-dienstverlening.

De ISO 27001 norm: informatieveiligheid is een must

Informatieveiligheid is dus geen vanzelfsprekendheid. Gevaren lonken namelijk overal en een ISO certificering betekent niet dat je rustig aan achterover kunt leunen. Daarbij stelt de wetgever dat het management voornamelijk verantwoordelijk is voor compliancy. Het is dus in eerste instantie aan de IT-manager om de informatieveiligheid te borgen, de uitvoering en techniek zijn volgend. En wanneer de managementmethode ontoereikend is, biedt een ISO 27001 audit en certificaat geen veiligheid.

De ISO 27001 audit is namelijk een momentopname. De besturing van de IT moet altijd goed georganiseerd zijn. Een goede IT-besturing wordt geborgd door een succesvol IT-service management-model toe te passen. En daar komt de Integrated Service Management-model zeer bij van pas. Het ISM-model helpt namelijk bij het structureren en continu verbeteren van de IT-werkwijzen en biedt dus ook bescherming van gegevens.

In de ISM-methode is informatieveiligheid een integraal onderdeel van IT-service management. Informatieveiligheid is dus geen ‘moetje’ en een kwestie van ‘door de audit komen’, maar een basisonderdeel van goede IT-dienstverlening. Het is een methode om de service van de IT-afdeling te verhogen. En om wet en werkelijkheid overeen te laten komen. Dat kan bereikt worden door alle vereiste acties te integreren in efficiënte IT-processen. De ISM-methode en de ISM compliancy tool in het bijzonder maken dit op eenvoudige wijze mogelijk.

De ISO 27001 norm: integraal onderdeel van jouw IT-dienstverlening

De ISO 27001 norm geldt organisatiebreed, maar het zwaartepunt ligt bij de IT-afdeling en de diensten die zij levert. De ISM-methode brengt naast betrouwbare werkprocessen en samenwerkingsafspraken ook een Agile en Lean werkwijze. Hierdoor kan de IT-afdeling snel anticiperen op nieuwe compliancy-vereisten. Ook borgt de ISM-methode dat de organisatie voldoet aan de eisen op het gebied van compliancy en security.

Wanneer de IT-manager de ISM-methode toepast is het voldoen aan de ISO 27001 norm geen controle-aspect meer, maar een streven om goede service te leveren. Customer Value, oftewel klantwaarde, is datgene wat ISM drijft. Leiders die deze positieve insteek uitdragen zijn bewezen succesvoller dan autoritaire leiders die voornamelijk afspraken controleren. Door deze positieve benadering heeft security blijvend een prominente positie en wordt het een intrinsiek onderdeel bij alle medewerkers.

Maak nu het verschil

De IT-leider maakt dus het verschil. De IT-manager zorgt er immers voor dat medewerkers weten wat er van hen wordt verwacht. De IT-manager zorgt ervoor dat de werkprocessen duidelijk zijn. Dat de ISO 27001 norm integraal onderdeel is van het moderne IT-service management dat het IT-team voert. Dat security een standaard onderdeel is van de IT-dienstverlening. En, niet te vergeten, dat de IT-manager leidt op een positieve manier waardoor de business geniet van de door de IT-afdeling geleverde informatieveiligheid.

Onze opleidingen halen de complexiteit uit methodes en theorieën, en leveren direct toepasbare kennis, inzichten en vaardigheden. Wanneer de ISM-methode toepast wordt behoeft de IT-afdeling slechts beperkte inspanningen te leveren voor een ISO 27001 audit. De organisatie voldoet namelijk structureel aan de ISO 27001 norm. Met ISM hebben vele professionals de kennis uit ITIL, DevOps en Agile werken op een praktische en herkenbare wijze op elkaar afgestemd.

ISM heeft de mens centraal staan en biedt de meest uitgebreide trainingen die gericht zijn op IT managers, teamleiders en procesmanagers. Download hier onze opleidingsbrochure en bekijk onze trainingskalender.


Benieuwd naar een integraal IT service management systeem?
Download dan de gratis whitepaper!

Wil je je IT-beheer verder professionaliseren? Met het gratis ISM-procesmodel kun je de ISM-methode direct, eenvoudig en snel invoeren, toepassen en te begrijpen: 70 pagina’s direct toepasbaar! Download de whitepaper hieronder:

 

Wil je op de hoogte blijven van ISM?

Meld je aan:

service management systeem uitdagingen ism portal servitect

6 uitdagingen en oplossingen voor de IT-manager

Wat zijn de belangrijkste uitdagingen voor de moderne IT-manager en welke oplossingen zijn er? Een goed service management systeem is alvast onmisbaar.

zorg en ict ism methode

De groeiende kloof tussen zorg en ICT, en hoe deze te overbruggen!

De invloed van de ICT op de zorg is de laatste tien jaar enorm toegenomen. De manier waarop patiënten en cliënten tegenwoordig zorg ontvangen, is niet meer te vergelijken met vroeger. Door de...
ICT en AVG

IT en AVG: mooie kansen, maar wacht niet te lang!

Op 25 mei 2018 - en dat is sneller dan je denkt - treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het...
ict en agile werken in de zorg

De ICT in de zorg kan niet zonder agile mindset

Digitaal innoveren is noodzakelijk om de kwaliteit van de ICT in de zorg te verbeteren en daarmee de zorg goed en betaalbaar te houden. De zorgvraag neemt in hoog tempo toe, met een groeiend tekort...

ISM: ontwikkelplatform voor modern IT-servicemanagement in de publieke sector

De ISM-methode is een praktisch toepassingsmodel en uitermate geschikt voor IT-afdelingen in de publieke sector. De ISM-methode verbetert samenwerking, versimpelt werkwijzen en zorgt dus voor meer efficiëntie en samenhang. Met andere woorden: ISM is een ontwikkelplatform en helpt jouw organisatie met het realiseren van modern IT-servicemanagement.

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina’s direct toepasbaar

Blijf op de hoogte van ISM



Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
088 - 2034000

}});